web-dev-qa-db-ja.com

WebサーバーとブラウザーのTLSサポートに関する統計はありますか?

から ハッカーが数百万のサイトで使用されているSSL暗号化を破る

この脆弱性は、バージョン1.0以前のTLS、またはインターネットの信頼の基盤として機能するセキュアソケットレイヤーテクノロジーの後継であるトランスポートレイヤーセキュリティに存在します。 TLSのバージョン1.1と1.2は影響を受けませんが、ブラウザとWebサイトではほとんどサポートされていません。

これは本当ですか?多くのサイト/ウェブブラウザがまだTLS 1.0を使用していることを確認できる統計はありますか?

10
LanceBaynes

はい、ほぼ全員がまだSSL 3.0またはTLS 1.0を使用しています。 QualysのIvan Risticが今年、Blackhatで素敵な講演を行いました。

詳細はまだ公表されていないため、現時点ではその影響については議論の余地がありますが、攻撃が本物かどうかは確かに本物だと理解しています。

更新-rc4はこの攻撃に対して脆弱ではないため、暗号スイートリストの最上位にrc4を追加することをお勧めします。 1日の調査の結果、攻撃はもっともらしく、場合によっては深刻に見えます。

Apacheの場合、次のようなものがそれを行うはずです。

 SSLCipherSuite!aNULL:!eNULL:!EXPORT:!DSS:!DES:!SSLv2:RC4-SHA:RC4-MD5:ALL 
 SSLHonorCipherOrder on 
9
Steve Dispensa

承知しました。 QualysのIvan Risticが詳細な分析を行っています。短いバージョンでは、TLS 1.1またはTLS 1.2をサポートするWebサイトはほとんどありません。以下は、彼が提供した1つの概要です。

statistics on SSL protocol support

以下は、関連する概要です The Registerに表示されます

more statistics on SSL protocol support

詳細については、 Qualys 2010 SSL調査 および G-SEC SSL強化と互換性調査 を参照してください。

4
D.W.